Windows 2000 sử dụng những thành phần nhận diện này theo dõi các tài khoản độc lập với tên người dùng, và xoá bỏ tài khoản người dùng mà không lo có người khác tìm cách tái tạo tài khoản
Trang 1Chương V: Thiết lập vμ quản lý tμi khoản người dùng vμ nhóm
Quản lý tài khoản là một trong những nhiệm vụ chủ yếu của nhà quản trị Microsoft Windows 2000 Trong chương này chúng ta sẽ khảo sát tài khoản người dùng và tài khoản nhóm Cách thiết lập và quản lý tài khoản người dùng, tài khoản nhóm và chính sách nhóm
5.1 Khái niệm chung
5.1.1 Tài khoản người dùng
Windows 2000 định nghĩa hai loại tài khoản người dùng:
• Tài khoản người dùng vùng: (domain user account) Là tài khoản người dùng được định nghĩa trong Active Directory Thông qua Single –On, tài khoản người dùng vùng có thể truy cập tài nguyên qua vùng Tài khoản người dùng vùng được tạo thành trong Active Directory Users and Computer
• Tài khoản người dùng cục bộ (local users account) Là tài khoản người dùng được định nghĩa trên tài khoản cục bộ Tài khoản người dùng cục
bộ chỉ được phép truy cập máy cục bộ, họ phải tự chứng thực mình trước khi có thể truy cập tài nguyên mạng Người tạo ra tài khoản người dùng với công cụ Local Users And Groups
Tên đăng nhập, mật mã và chứng nhận công cộng:
• Chú ý tất cả các tài khoản người dùng đều được nhận diện bằng tên
đăng nhập (logon name) Trong Windows 2000 tên này gồm 2 thành phần:
User name: Tên tài khoản
User domain or workgroup: Vùng hay nhóm nơi làm việc nơi người dùng là thành viên
• Tài khoản người dùng cũng có mật mã và chứng nhận công cộng phối hợp với chúng Mật mã (password) là chuỗi chứng thực dành cho tài khoản Chứng nhận công cộng (public certificate) kết hợp khoá công với khoá riêng để nhận diện người dùng Với mật mã bạn đăng nhập một cách tương tác Với chứng nhận công cộng, bạn truy nhập bằng card
Trang 2 SID và tài khoản người dùng:
Mặc dù Windows 2000 hiển thị tên người dùng nhằm mô tả các đặc quyền
và quyền truy cập nhưng các thành phần chủ chốt cho tài khoản chính là số nhận diện quyền bảo mật (Security Identifer-SID) SID là thành phần nhận diện không trùng lặp, được tạo thành đồng thời với tài khoản SID bao gồm tiền tố của SID vùng, cộng thêm một ID quan hệ không trùng lặp, do chủ ID quan hệ cấp
Windows 2000 sử dụng những thành phần nhận diện này theo dõi các tài khoản
độc lập với tên người dùng, và xoá bỏ tài khoản người dùng mà không lo có người khác tìm cách tái tạo tài khoản để truy cập tài nguyên.Khi đổi tên người dùng bạn yêu cầu Windows 2000 ánh xạ một SID cụ thể thành tên mới.Lúc cần xoá bỏ tài khoản hãy cho Windows 2000 biết SID cụ thể nào đó không còn hợp
lệ nữa.Sau đó cho dù bạn tái tạo tài khoản với cùng tên người dùng ,tài khoản mới vẫn không có đặc quyền và quyền truy cập như tài khoản cũ.Lý do là tài khoản mới sẽ có SID mới hoàn toàn
5.1.2 Tài khoản nhóm (Group Account)
ngoài tài khoản người dùng Windows 2000 còn cung cấp tài khoản nhóm.Bạn dùng nhóm để cung cấp quyền cho các dạng người dùng tương tự nhau ,nhằm
đơn giản hoá tác vụ quản trị
Trong Windows 2000 có 3 loại nhóm:
• Nhóm cục bộ (local group) là nhóm được định dõ trên máy tính cục bộ và chỉ được dùng trên máy tính cục bộ.Bạn tạo nhóm cục bộ với tiện ích Local Users And Gróup
• Nhóm bảo mật (Sicurity Group) là nhóm có bộ mô tả bảo mật phối hợp.Bạn định nghĩa nhóm bảo mật trong vùng ,dựa vào Active Directory Users And Computers
• Nhóm phân phối (Ditribution group) là nhóm được dùng làm danh sách phân phối E-mail.Chúng không có bộ mô tả bảo mật phối hợp.Bạn thiết lập nhóm phân phối trong vùng thông qua Active Directory Users And Computers
Phạm vi nhóm
Nhóm có nhiều phạm vi khác nhau (tức những khu vực nơi chúng hợp lệ) bao gồm:
Trang 3• Nhóm cục bộ vùng (domain local group) Dùng cấp quyền truy cập trong phạm vi vùng đơn.Thành viên nhóm cục bộ có thể chỉ chứa tài khoản (cả người dùng và nhóm) và nhóm xuất xứ từ vùng nơi chúng được định nghĩa
• Nhóm cục bộ cài sẵn :(built-in group) có phạm vị nhóm đặc biệt với quyền truy cập đặc biệt trong vùng,và nhằm mục đích đơn giản hoá ,thường được tham chiếu đến với tên nhóm cục bộ vùng.Đối với nhóm cục bộ cài sẵn thì không thể tạo hay xoá bỏ chúng,mà chỉ được phép sửa đổi chúng
• Nhóm toàn cục (global group) dùng để cấp quyền truy cập cho đối tượng thuộc vùng bất kỳ trong hệ vùng hay tập hợp hệ vùng cung cấp.Thành viên nhóm toàn cục chỉ có thể bao gồm tài khoản và nhóm xuất xứ từ vùng nơi chúng được định nghĩa
• Nhóm tổng thể (universal group) dùng để cấp quyền truy cập trên bình diện rộng khắp vùng hay tập hợp hệ vùng.Thành viên nhóm tổng thể bao gồm tài khoản và nhóm xuất xứ từ vùng bất kỳ thuộc hệ vùng hay tập hợp
hệ vùng
SID và tài khoản nhóm
• Cung cấp vời tài khoản người dùng, Windows 2000 dùng SID giám sát tài khoản nhóm.Điều này là bạn không thể huỷ bỏ tài khoản nhóm,tái tạo nó,rồi huy vọng tất cả đặc quyền và quyền truy cập vẫn còn được bảo toàn.Nhóm mới sẽ có ID mới, nhưng sẽ mất sạch quyền và quyền truy cập thuộc nhóm cũ
5.1.3 Tài khoản người dùng và nhóm mặc định
Khi cài đặt Windows 2000, hệ điều hành cài các tài khoản người dùng và nhóm mặc định Những tài khoản này được thiết kế nhằm cung cấp cơ cấu cơ bản cần thiết để phát triển mạng Có ba loại tài khoản mặc định:
• Predefined (định trước) tài khoản nhóm và người dùng được cài cùng với
hệ điều hành (như tài khoản Administrator,Guest)
• Built in (cài sẵn) tài khoản nhóm và tài khoản người dùng được cài cùng với hệ điều hành, chương trình ứng dụng, và dịch vụ mạng (Local System,…)
• Implicit (ngầm định) Những nhóm đặc biệt được tạo khi truy cập tài nguyên mạng
Trang 4 Nhóm cài sẵn
Nhóm cài sẵn (built -in) được cài theo mái phục vụ và trạm làm việc của Windows 2000 Hãy dùng nhóm cài sẵn cấp cho người dùng các đặc quyền và quyền truy cập nhóm, bằng cách kết nạp người dùng vào nhóm Nhóm cài sẵn cụ thể nào đó có khả dụng hay không phụ thuộc vào cấu hình hiện hành của hệ thống
Nhóm định trước
Nhóm định trước (predefined) được cài đặt cùng với vùng Acctive Directory, dùng để cấp quyền truy cập cho người dùng,máy tính và nhóm khác Thủ tục quen thuộc là kết nạp người dùng vào nhóm Thủ tục quen thuộc là kết nạp người dùng vào nhóm Nhóm định trước bao gồm nhóm cục bộ vùng, nhóm toàn cục và nhóm tổng thể Nhóm định trước cụ thể có khả năng hay không còn phụ thuộc vào cấu hình của vùng
Nhóm ngầm định và Identity đặc biệt
Trong Windows NT, nhóm ngầm định (implicit group) được chỉ định ngầm trong tiến trình đăng nhập, và dựa vào cách thức người dùng truy cập mạng Lấy ví dụ, nếu người dùng truy cập tài nguyên thông qua quy trình đăng nhập tương tác, anh ta sẽ tự động trở thành thành viên của nhóm Interactive Trong Windows
2000 ,phương pháp dựa trên thư mục đối tượng dẫn đến cấu trúc thư mục làm thay đổi các nguyên tắc ban đầu của nhóm ngầm định Mặc dù vẫn không thể xem xét quan hệ thành viên của các Identity đặc biệt, nhưng bạn lại được ấn định quan hệ thành viên nhóm ngầm định cho người dùng, nhóm và máy tính
Để phản ánh vai trò mới, nhóm ngầm định còn được gọi là các indentity đặc biệt
Đây là một dạng nhóm có quan hệ thành viên được tự động hiểu ngầm, như trong tiến trình đăng nhập, hoặc được ấn định rõ ràng thông qua quyền truy cập bảo mật Tương tự như các nhóm mặc định khác, tính khả dụng của một nhóm ngầm định phụ thuộc vào cấu hình hiện hành
5.2 Thiết lập và quản lý tài khoản người dùng
Một trong những tác vụ quan trong nhất của nhà quản trị mạng là tạo tài khoản người dùng, trong phần này sẽ hướng dẫn cụ thể cách thực hiện tác vụ này Khi
mở tài khoản người dùng, bạn sẽ dùng đến những công cụ quản trị tài khoản chủ yếu sau đây:
Trang 5 Local Users And Group, được thiết kế để quản trị tài khoản trên máy tính cục
bộ
5.2.1 Cấu hình và tổ chức của tài khoản người dùng
Khía cạnh quan trong nhất của thủ tục tạo tài khoản là cấu hình và tổ chức của tài khoản Không có chính sách thích hợp,bạn sẽ nhanh trong nhận thấy bạn phải tạo lại tài khoản người dùng Vì thế trước khi tạo tài khoản, bạn hay xác định những chính sách sẽ dùng để lập cấu hình và tổ chức
5.2.1.1 Chính sách tên tài khoản
Chính sách quan trong nhất cần ban hành là phương pháp đặt tên tài khoản Tài khoản người dùng có tên hiển thị (display name) và tên đăng nhập (logon name) Tên hiển thị (tức là tên đầy đủ) là tên hiển thị trước người dùng và tên tham chiếu trong phiên làm việc của người dùng Tên đăng nhập là tên dùng để đăng nhập vùng
Quy tăc dành cho hiển thị
Trong Windows 2000 tên hiển thị thường là chuỗi ghép nối từ tên và họ, nhưng bạn có thể gán chuỗi bất kỳ, tên hiển thị phải tuân theo quy tắc sau:
• Tên hiển thị cục bộ không được phép trùng trên trạm làm việc
• Tên hiển thị toàn cục không được phép trùng lặp trong toàn vùng
• Tên hiển thị phải ngắn hơn 64 ký tự
• Tên hiển thị có thể chứa ký tự chữ-số và ký tự đặc biệt
Quy tắc dành cho tên đăng nhập
• Tên đăng nhập không được phép trùng lặp trên trạm làm việc, tên đăng nhập toàn cục không được phép trùng lặp trong toàn vùng
• Tên đăng nhập có thể dài tối đa 104 ký tự Tuy nhiên đặt tên đăng nhập dài quá 64 ký tự là làm việc không thiết thực
• Tên đăng nhập trong Windows NT từ 4.0 trở về trước được đặt cho mọi tài khoản, mặc định được ấn định ở 20 kí tự đầu của tên đăng nhập Windows
2000 Tên đăng nhâp Windows NT từ 4.0 trở về trước không được phep trùng lặp trong toàn vùng
Trang 6• Người dùng đăng nhập vùng từ máy tính Windows 2000, có thể dùng tên
đăng nhập Windows 2000 hay tên đăng nhập Windows NT từ 4.0 trở về trước, bất chấp chế độ vận hành của vùng
• Tên đăng nhập không thể chứa một số kí tự xác định:
”/ \ []:;|=,+*?<>
• Tên đăng nhập có thể chứa kí tự đặc biệt bao gồm kí tự trắng, dấu chấm, dấu ghạch ngang, và dấu ghạch dưới Nhưng sẽ chẳng không ngoan chút nào khi sử dụng kí tự trắng trong tên tài khoản
Phương pháp đặt tên
Bạn thấy hầu hết tổ chức nhỏ có khuynh hướng đặt tên đăng nhập theo tên hoặc
họ của người dùng Nhưng trong công ty có thể có nhiều người trùng tên.Vì thế, thay vì phải chỉnh sửa phương pháp đặt tên đăng nhập khi gặp rắc rối, ngay từ bây giờ hãy chọn phương pháp đặt tên thích hợp nhất và yêu cầu các nhà quản trị khác dùng phương pháp đó Đối việc đặt tên tài khoản bạn phải áp dụng một thủ tục nhất quán, hạn chế tính trạng trùng tên.Theo đúng những nguyêh tắc này bạn
sẽ có những phương pháp đặt tên sau đây:
• Tên và chữ tắt của họ: Kết hợp tên của người dùng với chữ đầu tiên của họ
để hình thành tên đăng nhập Tuy nhiên phương pháp này không thiết thực
ở các tổ chức lớn
• Chữ viết tắt của tên và họ: Kết hợp chữ cài đầu tiên của tên và họ để hình thành tên đăng nhập Phương pháp này không thiết thực với các tổ chức lớn
• Chữ tắt của tên, chữ tắt tên lót, và họ: Kết hợp chữ cài đầu tiên của tên, chữ cái đầu tiên của tên lót và họ để tạo tên đăng nhập
• Chữ tắt tên chữ tắt tên lót và năm kí tự đầu tiên của họ
• Tên và họ tên đăng nhập là sự kết hợp giữa tên và họ của người dùng Muốn phân cách tên, có thể dùng kí tự ghạch dưới(_) hay ghạch nối (-)
5.2.1.2 Mật mã và chính sách tài khoản
Tài khoản Windows 2000 dùng mật mã và chứng nhận công cộng để phê chuẩn yêu cầu truy cập tài nguyên mạng ở đây là tập trung thảo luận về mật mã
Trang 7Mật mã là chuỗi kí tự có phân biệt chữ hoa và chữ thường,dài tối đa 104 kí tự với dịch vụ Active Directory, và tối đa 14 kí tự đối với Windows NT Security Manager Các kí tự hợp lệ cho mật mã là chữ, số, kí hiệu Khi ấn định mật mã cho tài khoản, Windows 2000 lưu mật mã theo dạng thức mã hoá trong cơ sở dữ liệu tài khoản
Nhưng nếu chỉ có mật mã không thì chưa đủ Bí quyết ngăn ngừa truy cập tài nguyên một cách bất hợp pháp là sử dụng mật mã an toàn (secure password) Điểm khác biệt giữa mật mã trung bình và mật mã an toàn là rất khó giải đoán
và bẻ khoá Để mật mã trở nên khó giải đoán, hãy kết hợp mọi khả chữ khả dụng bào gồm chữ thường, chữ hoa, kí hiệu
Thiết lập chính sách tài khoản
Chung ta có thể áp dụng chính sách nhóm ở nhiều cấp độ khác nhau trong phạm
vi cấu trúc mạng Trong phần này sẽ trình bày trong phần sau Một khi đã truy cập địa điểm chứa chính sách nhóm, cần sử lý các bước sau để ban hành tài khoản:
1 Truy cập mục Account Policies ở khung bên trái (xem hình sau) Mở rộng coputer Configuration tiếp đến là Windows settíng, sau cùng đến Security settíng
2 Lúc này bạn có thể quản lý chính sách tài khoản thông qua Password Police, Account Lockout Policy, và Kerberos Policy
Trang 8Hình 7.1 thiết lập chính sách cho mật mã và sử dụng tài khoản thông qua Account Policies Khung bên trái hiện thị tên của máy tính hay vùng đang được lập cấu hình Hãy kiểm tra nhằm đảm bảo đây là tài nguyên mạng thích hợp để lập cấu hình
Thiết lập chính sách cho mật mã và sử dụng tài khoản thông qua Account Policies Khung bên trái hiện thị tên của máy tinh hay vùng đang được lập cấu hình Hãy kiểm tra để đảm bảo đây là tài nguyên mạng thích hợp để lập cấu hình
3 Muốn lập cấu hình chánh sách, bạn nhấp đúp mục nhập tương ứng, hoặc nhấp nút phải mouse vào đó và chọn Security mở hộp thoại thuộc tính chính sách
4 Đối vơi chinh sách cục bộ, hộp thoại Properties tương tự như hộp thoại được minh hoạ trong hình vẽ Chính sách thực tế (effective policy) dành cho máy tính hiển thị, nhưng không thay đổi được Tuy nhiệnm, bạn được phép thay đổi các xác lập chính sách cục bộ.Hãy lập cấu hình chính sách cục bộ bạn bỏ qua những bước còn lại, vì chúng chỉ áp dụng cho chính sách nhóm toàn cục
Trang 9Hình 7.2 Với chính sách cục bộ, bạn có dịp xem cả chính sách thực tế lẫn chính sách cục bộ
5 Đối với Site, vùng, đơn vị tổ chức, hộp thoại Properties tương tự hộp thoại minh hoạ ở hình sau
6 Mọi chính sách được định rõ hoặc không Có nghĩa chúng được lập cấu hình
để sử dụng hoặc không Chính sách nào không được đinh rõ ở thư mục hiện hành
có thể được kế thừa từ thư mục chứa khác
7 Chọn hoặc xoá chọn define This Policy settting để xác định chính sách có
được định rõ hay không
Trang 10Hình 7.3 Định rõ và định cấu hình chính sách nhóm toàn cục thông qua hộp thoại Properties
5.2.1.3 Lập cấu hình chính sách tài khoản
Có ba loại chính sách tài khoản:chính sách mật mã, chính sách tài khoản, và chính sách Kerberos
Lập cấu hình chính sách mật m∙
chính sách mật mã được ban hành nhằm mục đích bảo vệ mật mã và bao gồm:
• Enforce Password History : là chính sách ấn định chu kỳ tái sử dụng mật mã
• Maximum Password Age : là chính sách quyết định thời gian người dùng
phải lưu giữ mật mã trước khi buộc phải thay đổi Mục đích buộc người dùng phải thay đổi mật mã theo định kỳ Xác lập mặc định là 42 ngày và khoảng giá trị cho phép là từ 0-999
• Minimum Password Age : Đây là chính sách quyết định thời gian người dùng
người dùng phải lưu trữ mật mã trước khi thay đổi Bạn dùng xác lập này ngăn không cho người dùng “đánh lừa” hệ thống mật mã bằng cách ghõ vào mật mã mới rồi thay đổi ngày thành mật mã cũ
• Minimum Password Length : ấn định số lượng kí tự tối thiểu cho mật mã Xác
lập mặc định là cho phép để trắng mật mã (không ghõ kí tự nào cho mật mã)
Trang 11• Password Must Meet Complexity Requirement : Ngoài chính sách tài khoản
và chính sách mật mã cơ bản, Windows 2000 còn cung cấp nhiều phương tiện giúp kiểm soát mật mã chặt chẽ hơn Những phương tiên này khả dụng trong
bộ lọc mật mã (password filter),vốn có thể cài đặt trên máy điều khiển vùng
• Store Password Using Reversible Encryption : Mật mã được mật mã trong cơ
sở dữ liệu Hiệu ứng mã hoá này không thể xoá bỏ một cách thông thường Nếu muốn có thể giải mã, bạn kích hoạt Store Password Using Reversible Encryption For All Users In The Domain Mật mã sau đó sẽ được lưu ở dạng mã hoá có thể giải mã và được phục hồi trong tình huống khẩn cấp Bất kì nhà quản trị nào cũng có thể thay đổi mật mã của người sử dụng
• Lập chính sách tài khoản
• Chính sách tài khoản chi phối cách thức và thời điểm khoá tài khoản bên
ngoài vùng hay hệ thống vùng cục bộ Có ba chính sách tài khoản:
• Account Lockout Threshold :ấn định số lần cố gắng đăng nhập cố gắng thực
hiện trước khi tài khoản bị khoá.Nếu áp dụng chính sách khoá tài khoản,bạn nên chọn cho chích sách này một giá trị cân bằng giữa nhu cầu bảo vệ tài khoản trước kẻ xâm nhập bất hợp pháp với nhu cầu người dùng gặp khó khăn khi truy cập tài khoản của họ
• Account Lockout Duration : Nếu có kẻ vi phạm chính sách tài khoản Account
Lockout Duration sẽ ấn định khoảng thời gian khoá tài khoản, thay đổi trong khoảng 1-99999 phút, hoặc không ấn định thời gian này, bằng cách duy trì thời gian này bằng 0
• Reset Account Lockout Threshold After : Mỗi lần có một nỗ lực đăng nhập
thất bại, Windows 2000 lại nâng giá trị ngưỡng theo dõi số lần đăng nhập bất thành lên Reset Account Lockout Threshold After quyết định thời gian duy trì ngưỡng khoá tài khoản
• Lập cấu hình chính sách Kerberos
• Kerberos phiên bản 5 là cơ chế chứng thực chính dùng trong vùng Active
Directory nhằm kiểm tra nhận dạng của người dùng và các dịch vụ mạng, Kerberos sử dụng “ vé dịch vụ ” (service ticket) và “ vé người dùng ” (User ticket) Những vé này chứa giữa liệu được mã hoá, xác nhận nhận dạng của người dùng hay dịch vụ
• Bạn chi phối thời hạn, gia hạn và ban hành vé thông qua chính sách sau đây:
Trang 12• Enforce User Logon Restrictions :Là chính sách đảm bảo thực thi mọi áp đặt
lên tài khoản người dùng Lấy ví dụ, nếu giới hạn ở số giờ đăng nhập, chính sách này sẽ buộc phải thi hành giới hạn đó Mặc định Enforce User Logon Restrictions được chọn và rất ít khi bị vô hiệu hoá
• Maximum Life Time : Maximum Lifetime For Sevice Ticket và Maximum
Lifetime For User Ticket ấn định thời hạn hợp lệ tối đa cho vé dịch vụ hoặc
vé người dùng cụ thể Mặc định, vé dịch vụ có giới hạn hợp lệ tối đa là 41760 phút, còn với vé người dùng là 720 giờ
• Maximum Tolerance : Maximum Tolerance for Computer Clock
Synchronization là một trong số vài chính sách Kerberos có thể cần thay đổi Mặc định máy tính vùng phải đồnh bộ với nhau trong vòng 5 phút Ngược lại, máy điều khiển vùng sẽ không chứng thực được nếu có người dùng ở xa truy cập vùng mà không chỉnh đồng hồ hệ thống theo đồng hồ mạng Bạn nên điều chỉnh giá trị này với khoảng giá trị khả dụng là 0-99999
5.2.2 Thiết lập tài khoản người dùng
Bạn phải thiết lập tài khoản người dùng cho người dùng nào muốn sử dụng tài nguyên mạng Tài khoản người dùng trong Domain được thiết lập thông qua tiện ích Active Users And coputers Dùng tiện ích Local Users And Groups tạo tài khoản người dùng cục bộ
5.2.2.1 Thiết lập tài khoản người dùng vùng
thông thường có hai cách thiết lập tài khoản người dùng mới:
Tạo tài khoản người dùng hoàn toàn mới : Mở cửa sổ Users and Coputers
trong thư mục Active Directory,nhấp phải vào User->New User Hộp thoại New Object-User Wirard hiển thị.(Hình 7.4) Khi thiết lập tài khoản mới các xác lập hệ thống mặc định được sử dụng
Trang 13Hình 7.4 Lập cấu hình tên đăng nhập và tên hiển thị của người dùng
Tạo tài khoản mới trên tài khoản hiện có : Nhấp đúp chuột vào tài khoản
người dùng cần sao chép trong Active Directory User And Coputer, rồi chọn copy Một copy Object-User Wizard khởi động, về cơ bản cũng tương tự như hộp thoại New User Tuy nhiên, khi toạ bản sao của tài khoản, tài khoản mới
sẽ thu nhận hầu hết xác lập môi trường từ tài khoản hiện có
Lúc cửa sổ New Object-User hoặc copy Object-User khởi động bạn thiết lập tài khoản bằng cách:
1 Như hiển thị ở hình trên (hình 7.4), Hộp thọai đầu tiên của Wizard cho phép lập cấu hình tên đăng nhập và tên hiển thị của người dùng
2 Gõ tên người dùng vào trường thích hợp Họ tên người dùng hình thành Full name, tức tên hiển thị của người dùng
3 Thực hiện thay đổi cho trường Full name, nếu cần Tuỳ thuộc vào chính sách
đặt tên
Trang 144 Gõ tên đăng nhập của người dùng vào trường User Logon Name Dùng danh sách sổ xuống chọn ra vùng sẽ phối hợp với tài khoản, việc làm này giúp hình thành tên đăng nhập hoàn chỉnh
5 20 kí tự đầu tiên của tên đăng nhập được dùng để ấn định tên đăng nhập ở Windows NT 4.0 trở về trước Tên này không được phép trùng lặp trong vùng Nếu cần hãy thay đổi tên đăng nhập của Windows NT 4.0 trở về trước
6 Nhập Next Tiếp đến ấn định mật mã của người dùng thông qua hộp thoại minh hoạ ở (hình 7.5)
Hình 7.5 Lập cấu hình mật mã của người dùng
Những tuỳ chọn ở đây bao gồm:
• Password (Mật mã tài khoản):Mật mã phải theo đúng quy ước đã đặt ra
trong chinh sách mật mã
• Confirm Password : Giup đảm bảo bạn đã ghõ đúng mật mã Chỉ việc gõ lại
mật mã để xác nhận nó
Trang 15• User must change Password At next logon : nếu chọn thì người dùng phải
thay đổi mật mã mỗi khi đăng nhập
• User cannot Change Password : Nếu được chọn thì người dùng không được
phép thai đổi Password
• Password Never Expires Đánh dấu chọn, mật mã dành cho tài khoản này sẽ
không bao giờ hết hạn Đây là xác lập dành quyền với chính sách tài khoản cục bộ
• Account is Disabled Đánh dấu vào tài khoản sẽ bị vô hiệu hoávà không sử
dụng được
7.Nhấp Next, nhấp tiếp Finish để tạo tài khoản trường hợp có sai sót thông điệp báo lỗi hiển thị,bạn phải dùng nút Back gõ lại thông tin vào hộp thoại User name và Password,nếu cần
5.2.2.2 Tài khoản người dùng cục bộ
Vơi tác vụ này,bạn sử dụng tiện ích Local User And Group theo các bước sau:
1 chọn Start ->Program->Administrative Tools->Computer Management.Hoặc chọn Computer management từ thư mục Administrative Tools
2 Nhấp nút phải chuột vào mục nhập Computer management bên khung trái và chọn connect To Another Computer từ Menu tắt Chọn tiếp hệ thông có tài khoản cục bộ quản lý Mày điều khiển vùng không có người dùng và nhóm cục
bộ
3 Mở rộng System Tools (Nhấp dấu +), chọn Local User And Groups
4 Nhâp nút phải chuột vào User và chọn New->User.Hộp thoại New hiển thị
Trang 16Hình7.6 Lập cấu hình tài khoản người dùng cục bộ có nhiều điểm khác với lập cấu hình tài khoản người dùng vùng
Những tuỳ chọn ở đẩy bao gồm:
• Username : Tên đăng nhập của tài khoản người dùng, phải tuân theo đúng
quy ước do chính sách tên cục bộ đặt ra
• Full Name : Họ tên đầy đủ của người dùng
• Description : Thông tin mô tả người dùng, thông thường bạn gõ trức vụ và bộ
• User Must Change Password At Next Logon : Nếu chọn thì người dùng phải
thay đổi mật mã mỗi khi đăng nhập
Trang 17• User Cannot Change Password : Nếu được chọn người dùng không được
phép thay đổi passwiord
• Password Never Expires : Nếu bạn chọn mục này thì mật mã dành cho tài
khoản nàu sẽ không bao giờ hết hạn Đây là xác lập dành quuyền với chính sách tài khoản cục bộ
• Account Is Disabled : Đánh dấu vào mục này thì tài khoản sẽ bị vô hiệu
hoávà không sử dụng được
• Nhấp Creat khi hoàn tất việc lập cấu hình cho tài khoản mới
1.Quản lý tài khoản người dùng
Sau khi tạo tài khoản người dùng chúng ta phải dành nhiều thời gian để quản lý chúng bao gồm các tác vụ sau:
Quản lý thông tin liên hệ:
Active Directory là dịch vụ thư mục (chính xác là phải gọi là “ Dịch vụ danh bạ
”) Khi thiết lập tài khoản người dùng, chúng ta có thể có thông tin liên hệ kèm theo.Thông tin này sau đó trở nên khả dụng cho mọi người thuộc hệ vùng hoặc tập hợp thuộc hệ vùng, dùng để tìm kiếm và bổ xung vào Address Book
• ấn định thông tin liên hệ
Bạn ấn định thông tin liện hệ cho tài khoản người dùng như sau:
• Nhấp đúp tên đăng nhập của người dung trong Active Directory Users And
Computers Như thường lệ hộp thoại thuộc tính tài khoản xuất hiện
• Nhấp Tab General (Hình 7.7) Sử dụng các tuỳ chọn sau đây:
• First name, Initials, Last name định họ tên đầy đủ người dùng
• Display name Định tên hiển thị của người dùng, hiện thị ở phiên đăng nhập
hay ở Active Directory
• Description gõ thông tin mô tả về người dùng
• Office cho biết địa chỉ văn phòng làm việc của User
• Telephone Number Định rõ số điện thoại người dùng Nếu người dùng có
nhiều số điện thoại liên hệ, nhấp Orther, gõ thêm số điện thoại phụ vào hộp thoại Phone number (Orther)
Trang 18E-mail định địa chỉ mail của User vào đây
Web Page Định URL (Uniform Resouce Locator) của trang chủ Internet hay Intranet của công ty
Hình 7.7Lập cấu hình thông tin liên hệ cho người dùng thông qua trang Genaral thông tin này sau đó sẽ được dùng trong Address book và các thuộc tính tìm kiếm
• chuyển sang trang Address định rõ địa chỉ nơi làm việc và nhà riêng của
User
• Nhấp Tab Telephone.Gõ những số điện thoại chính sẽ dùng để liên hệ với
người dùng
• Nếu vẫn còn nhiều số điện thoại khác hãy nhấp nút Orthers phối hợp với
từng loại và gõ thêm số điện thoại vào hộp thoại hiện thị ngay sau đó
Trang 19• Muốn định rõ người chịu trách nhiệm quản lý người dùng Nhấp change,
chọn tên người quản lý từ hộp thoại Select User or Contact Khi định rõ người quản ly, tài khoản người dùng sẽ xuất hiện ở dạng báo biểu trực tiếp trong tài khoản của người quản lý
• Nhấp Ok hoặc Apply để áp dụng thay đổi
• Tìm người và đưa thông tin vào Address book
• Active Directory giúp bạn rễ dàng tìm kiếm người trong thư mục, sau đó bổ
xung kết quả tìm được và Address book Tác vụ này thường được dùng cho người dùng thực hiện Theo các bước sau
• Chọn Start->Seach->for People mở hộp thoại minh hoạ (hình 7.8)
• Nhấp hộp thoại danh sách Look in, chon Active Directory, gõ tên hoặc địa
chỉ E-mail của người cần tìm
• Nhấp Find Now để bắt đầutìm kiếm, kết quả so khớp sẽ được hiển thị Bằng
không kết quả sẽ không được hiển thị
• Muốn xem thuộc tính tài khoản, chọn tên hiển thị và nhấp chon Properties
• Chọn tên hiển thị, nhấp Add to Address book
Hình 7.8 tìm người trong Active Directory ,sau đó đưa kết quả tìm được và Address Book
Trang 20Tài khoản người dùng còn có bộ lưu trữ ,Kịch bản đăng nhập và thư mục cá nhân phối hợp với chúng, muốn lập cấu hình những xác lập tuỳ ý này, bạn nhấp
đúp lên hiển thị bất kỳ trong Active Directory And Computers, rồi nhấp tab Profile (hình 7.9) Trang Profile cho phép xử lý các trường hợp sau:
Profile path đường dẫn đến bộ truy cập người dùng, bộ lưu trữ cung cấp xác lập môi trường cho người dùng Mỗi lần User đăng nhập máy tính, bộ lưu trữ của người dùng này lại được sử dụng nhằm quyết định các xác lập Desktop và control panel, chính khả dụng
Hình 7.9 tạo bộ lưu trữ người dùng trên trang Profile.Bộ lưu trữ cho phép bạn lập cấu hình môi trường mạng cho người dùng
Logon Scrept đường dẫn đến kịch bản đăng nhập của người dùng Kịch bản đăng nhập (Logon Scrept) là tập tin Patch, sẽ chạy mỗi lần người dùng đăng nhập
